OpenAI ha promesso la privacy ma sta comprando dati aziendali

OpenAI investe 4 miliardi in una società di deployment che integra l’AI nei sistemi aziendali più sensibili

OpenAI vende privacy come se fosse un prodotto, ma il suo vero mercato sono i dati aziendali — quelli più sensibili, strutturati, non anonimi. L’11 maggio 2026 ha annunciato una OpenAI Deployment Company con un investimento iniziale di 4 miliardi di dollari. Dietro lo scudo del Privacy Filter, che sarebbe più efficace di qualsiasi alternativa nel rimuovere dati personali, si stanno costruendo ponti d’oro verso il cuore operativo delle imprese. Il problema? Più l’AI entra nei flussi aziendali, più il confine tra dato personale e dato operativo diventa un’ipotesi filosofica.

Il paradosso della trasparenza: più prometti privacy, più la svendi

OpenAI ha moltiplicato le garanzie per l’utente finale. Le chat temporanee non lasciano traccia nella cronologia, non alimentano il modello. Vengono conservate per 30 giorni – una conservazione di 30 giorni per “motivi di sicurezza” – e poi sparite. La memoria opzionale è disattivabile, modificabile, eliminabile. Il sistema è addestrato a un rifiuto di richiedere dati privati. Tutto suona bene. Ma perché proprio ora, mentre l’azienda compra Tomoro, una società di consulenza che ha lavorato con Tesco, Virgin Atlantic e Supercell? Tomoro porta con sé circa 150 ingegneri e specialisti già immersi nei sistemi interni di aziende che gestiscono milioni di transazioni e dati personali ogni giorno.

Il vero business non sono i chatbot consumer. Sono le integrazioni enterprise, dove il dato sensibile – clienti, fornitori, dipendenti – diventa carburante per i modelli. Open AI si presenta con una partnership con 19 società di consulenza e system integrator. Più di un milione di aziende usano già i loro prodotti. La domanda non è se i dati aziendali finiranno nei modelli, ma come e con quali tutele. Il GDPR, per esempio, richiede che il trattamento dei dati sia limitato a finalità specifiche. Una volta che l’AI impara da uno scambio operativo, dove finisce quel confine?

Chi guadagna dall’opacità delle scale?

L’ossessione per la scala è scritta nel DNA di OpenAI. Kaplan et al. 2020 ha dimostrato che la loss segue una power-law all’aumentare di parametri, dati e computazione. NVIDIA ha esteso il concetto a tre leggi che coprono pre-training, post-training (SFT e RL) e test-time compute. Più si scalandola, più i modelli diventano capaci di lavori interni complessi. Ma questa capacità si nutre di dati contestuali: ordini di Tesco, prenotazioni di Virgin Atlantic, strategie di Supercell. La promessa di privacy diventa un argine che l’azienda stessa sta bucando, offrendo alle imprese l’integrazione profonda.

Denise Dresser, Chief Revenue Officer di OpenAI, ha dichiarato: “AI is becoming capable of doing increasingly meaningful work inside organizations. The challenge now is helping companies integrate these systems into the infrastructure and workflows that power their businesses. DeployCo colma quel divario e trasforma la capacità AI in impatto operativo reale.” È una frase elegante, ma dietro c’è un messaggio chiaro: i dati aziendali devono fluire dentro il modello. E quando fluiscono, chi controlla che il Privacy Filter – che è più efficace (lo ripetono, quasi per rassicurare) – non lasci passare nemmeno un numero di carta di credito? La risposta è: l’azienda stessa.

Nessun ente terzo certifica quella filtrazione.

E se il regolatore guardasse oltre i filtri?

Il paradosso finale è che OpenAI chiede fiducia per un sistema che, per diventare più utile, deve sapere di più. Le chat temporanee non creano memoria, ma la Deployment Company sì: memorizzerà i flussi, le abitudini, le eccezioni operative. In Europa, il GDPR impone che il data controller – l’impresa cliente – sia in grado di dimostrare la conformità. Ma se il modello impara in modo distribuito, come si cancella un dato? Come si dimostra che una conversazione in Temporary Chat è stata effettivamente cancellata dopo 30 giorni, se il log di sicurezza potrebbe ancora esistere da qualche parte? OpenAI dice che le chat temporanee vengono conservate 30 giorni poi cancellate. Ma chi verifica?

L’antitrust, poi, guarda con attenzione a questo tipo di integrazione verticale: da un lato il modello, dall’altro il consulente che lo installa nei dati più sensibili. La fusione tra chi produce l’AI e chi la integra – con un fondo da 4 miliardi – rischia di creare un mercato chiuso. I clienti di Tomoro (Tesco, Virgin Atlantic) diventano automaticamente clienti vincolati? E i dati che prima restavano nei loro server ora viaggiano verso i datacenter di OpenAI? Nessuno lo dice esplicitamente, ma la logica del consolidamento è chiara: più dati, più scala, più potere.

Un’ultima domanda, forse la più scomoda: se la privacy è davvero una priorità, perché il lancio della Deployment Company non è accompagnato da un audit indipendente, da un obbligo contrattuale di separazione netta tra dati di training e dati operativi, da una clausola che impedisca a OpenAI di usare i dati aziendali per migliorare i modelli base? Invece, tutto tace. E il silenzio, in questa storia, è l’unico dato certo.